Nginx 实现OCSP Stapling

什么是OCSP Stapling

OCSP的全称是Online Certificate Status Protocol，在线证书状态协议。它是一个用于检查证书状态的协议，客户端使用此协议来检查证书是否被撤销。而OCSP Stapling，是指服务端主动获取 OCSP 查询结果并随着握手协商时一起发送给客户端，从而让客户端免去自己验证的过程，提高 TLS 握手效率。

Web容器版本支持

Nginx version 1.3.7以上支持

Apache Server 2.3.3+ 以上支持

自动OCSP Stapling

 server { listen 443 ssl; server_name www.xxx.cn; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; #设置OCSP请求的DNS服务器地址 resolver_timeout 5s; ssl_trusted_certificate ca.pem; #ca.pem为证书的中级CA证书 }

配置修改完成后，需要重启nginx服务规则才会生效。

手动开启OCSP Stapling

1,获取证书的OCSP地址

命令：openssl x509 -in server.pem -noout -ocsp_uri *server.pem为服务器证书公钥文件。

手动：双击打开.cer格式服务器证书-详细信息-颁发机构信息访问/授权信息访问-联机证书状态协议中的http链接地址：http://ocsp2.globalsign.com/gsorganizationvalsha2g2

2，制作stapling.ocsp文件

openssl ocsp -CAfile root.pem -issuer ca.pem -cert server.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 -text -respout ./stapling.ocsp -header "HOST" "ocsp2.globalsign.com"

其中root.pem为中级CA证书和顶级根证书，ca.pem为中级CA证书，server.pem为服务器证书。
注：stapling.ocsp具备生命周期，需每次在update到期之前更新,建议可以编辑自动化任务脚本进行更新。

3、在Nginx.conf添加如下内容到https站点配置中

server { listen 443 ssl; server_name www.xxxx.cn; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; ssl_stapling_file /etc/nginx/cert/stapling.ocsp; ssl_trusted_certificate ca.pem; }

4、验证OCSP Stapling 状态

openssl s_client -connect youdomino.com:443 -tlsextdebug –status 

已开启

`OCSP response:
OCSP Response Data:
OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response
……`

未开启

OCSP response: no response sent